审计linux命令 审计指令

ELK linux主机操作命令审计 PROMPT_COMMAND环境变量的作用是,在每一次执行命令之前都会执行此环境变量 。
审计的原理是:
Linux 主机审计Linux 主机审计
Linux操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录,不过这一功能默认是没有打开的 。
开启这个功能的过程:
# touch /var/log/pacct
# action /var/log/pact
也可以用自已的文件来代替/var/log/pacct这个文件 。但必须路径和文件名的正确 。
sa命令与 ac 命令一样,sa 是一个统计命令 。该命令可以获得每个用户或每个命令的进程使用的大致情况,并且提供了系统资源的消费信息 。在很大程度上,sa 又是一个记帐命令,对于识别特殊用户 , 特别是已知特殊用户使用的可疑命令十分有用 。另外,由于信息量很大,需要处理脚本或程序筛选这些信息 。
lastcomm命令, 与 sa 命令不同,lastcomm 命令提供每一个命令的输出结果,同时打印出与执行每个命令有关的时间印戳 。就这一点而说,lastcomm 比 sa 更有安全性 。如果系统被入侵,请不要相信在 lastlog、utmp、wtm中记录的信息,但也不要忽略,因为这些信息可能被修改过了 。另外有可能有人替换了who程序来掩人耳目 。通常,在已经识别某些可疑活动后,进程记帐可以有效的发挥作用 。使用 lastcomm 可以隔绝用户活动或在特定时间执行命令 。
3、使用logrorate对审计文件管理
/var/log/utmp,/var/log/wtmp和/var/log/pacct文件都是动态的数据文件 。wtmp和pacct文件是在文件尾部不断地增加记录 。在繁忙的网络上 , 这些文件会变得很大 。Linux提供了一个叫logrotate的程序,它允许管理员对这些文件进行管理 。
Logrotate读取/etc/logrotate.d目录下的文件 。管理员通过该目录下的脚本文件,控制logrotate程序的运作 。一个典型的脚本文件如下:
{
rotate 5
weekly
errors root@serve1r
mail root@server1
【审计linux命令 审计指令】copytruncate
compress
size 100k
}
脚本文件的含义如下:
● rotate 5——保留该文件一份当前的备份和5份旧的备份 。
● weekly——每周处理文件一次,通常是一周的第一天 。
● errors——向邮件地址发送错误报告 。
● mail——向邮件地址发送相关的信息 。
● copytruncate——允许进程持续地记录,备份文件创建后 , 把活动的日志文件清空 。
● compress——使用gzip工具对旧的日志文件进行压缩 。
● size 100k——当文件超过100k 时自动处理 。
Wazuh功能——审计 who-data审核who-data
新版本3.4.0 。
从3.4.0版本开始,Wazuh集成审计linux命令了一项新功能,可以从监控文件中获取who-data 。
此信息包含对监控文件进行更改的用户 , 以及用于执行这些更改的程序名或进程 。
一、在Linux中审计who-data
who-data监视功能使用Linux审计子系统获取关于谁在监视目录中进行了更改的信息 。这些更改产生审计事件,这些审计事件由syscheck处理并报告给经理 。
1、配置
首先,审计linux命令我们需要检查审计守护进程是否安装在我们的系统中 。
在基于RedHat的系统中,Auditd通常是默认安装的 。如果没有安装,我们需要使用以下命令进行安装:
# yum install audit
对于基于Debian的系统,请使用以下命令:
# apt install auditd
下一步是配置syscheck,以便在我们的ossec.conf文件的所选文件夹中启用whodata监视:
添加此配置后,我们需要重新启动Wazuh来应用更改 。
我们可以检查是否应用了用于监视所选文件夹的审计规则 。要检查这一点,我们需要执行以下命令

推荐阅读